back to top

Schrems vs Facebook: Bot, i singoli Stati possono fermare il trasferimento di dati

Data:

Yves Bot, Avvocato generale della Corte di Giustizia Europea (CGUE), ieri ha presentato le conclusioni nell’ambito della controversia giudiziale promossa dall’austriaco Max Schrems nei confronti del Data Protection Commissioner irlandese. Secondo Bot, i singoli Stati hanno il potere di sospendere il trasferimento dei dati verso un paese terzo, qualora venga accertato che quest’ultimo non garantisce un adeguato sistema di protezione.

Il 23 settembre 2015 è un giorno positivo per l’austriaco Maximilian Schrems, laureato in giurisprudenza e utente di Facebook dal 2008: le conclusioni depositate dall’Avvocato generale della CGUE Yves Bot sono, almeno parzialmente, a suo favore. Schrems. in nome proprio e di altri 25.000 utenti, ha proposto una maxi “class action” europea contro Facebook – nota come “europe versus facebook.org” – a seguito delle rivelazioni di Edward Snowden, ex consulente della NSA per conto della Booz Allen Hamilton,  secondo le quali la NSA utilizza programmi di intercettazione tra Stati Uniti e UE in merito ai metadati di comunicazioni, oltre a programmi di sorveglianza su Internet, tra cui il dabase PRISM (che consentirebbe alla NSA di avere accesso illimitato ai dati di massa che si trovano sui server degli Stati Uniti). Schrems ritiene, alla luce di tali dichiarazioni, che gli Stati Uniti non assicurino un adeguato livello di protezione dei dati personali.

Una denuncia è stata, inoltre, presentata a Helen Dixon – il Commissario dell’Irish Data Protection – affinchè ordinasse a Facebook Ireland (la sede centrale europea della società di Palo Alto) di non trasmettere i dati degli utenti negli Stati Uniti, ma con esito negativo. Schrems ha deciso, quindi, di rivolgersi all’Alta Corte irlandese che, ritenendo le questioni sollevate di interesse per l’Unione Europea, ha chiesto chiarimenti alla Corte di Giustizia Europea. Il procedimento è rubricato con il n. C – 362/14.

schrems-facebook-bot-class-action

La vicenda e le conclusioni dell’Avvocato generale Yves Bot

Nel mese di luglio di quest’anno, Schrems ha annunciato che la Corte Regionale di Vienna – la “Landesgericht” – ha dichiarato, in prima istanza, inammissibile la class action nei confronti di Facebook per motivi esclusivamente procedurali. L’attivista austriaco ha inserito sul sito internet europe-v-facebook.org la frase ironica “Viennese Court does not want “hot potato”?!” e ha comunicato la decisione di proporre appello davanti alla Higher Regional Court (“Oberlandesgericht”).

In merito, invece, al giudizio proposto dinanzi alla Corte di Giustizia Europea, il 21 settembre si è tenuta l’ultima udienza e ieri sono state depositate le conclusioni dell’Avvocato generale Yves Bot.

Nella parte introduttiva del documento si legge che, come stabilito dalla Commissione Europea nella Comunicazione del 27.11.2013, il trasferimento dei dati personali è “un importante e necessario elemento delle relazioni transatlantiche. Essi formano parte integrante degli scambi commerciali tra le due sponde anche per le nuove imprese digitali in crescita, come i social media o il cloud computing, con grandi quantità di dati che vanno dall’Unione Europea agli Stati Uniti”.

Vengono citati l’art. 7 della Carta dei Diritti Fondamentali dell’Unione Europea, il quale stabilisce che “Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni”, e l’art. 8, secondo cui “Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente”. Nel caso specifico, la questione principale è se può essere vincolante per l’autorità nazionale per la protezione dei dati la valutazione della Commissione “in merito all’adeguatezza del livello di protezione, contenuta nella decisione 2000/520”.

In proposito, l’Avvocato generale della CGUE precisa che, pur non avendo Schrems addotto argomentazioni specifiche a sostegno del rischio di grave danno imminente che può causare il trasferimento dei dati tra Facebook in Irlanda e Facebook negli Stati Uniti, le preoccupazioni di quest’ultimo circa i programmi di sorveglianza utilizzati negli USA dalle agenzie di sicurezza sono condivise dalla Commissione, che ha deciso di revisionare la decisione 2000/520. Pertanto, le autorità nazionali di vigilanza hanno il potere di rinegoziare con gli Stati Uniti i termini della decisione sopra citata e, se lo ritengono necessario, di sospendere la medesima nell’ipotesi di intervento a seguito di denunce o preoccupazioni astratte (come nel caso specifico); tali poteri non possono essere limitati dalle competenze attribuite dal legislatore dell’UE alla Commissione con l’art. 25 della direttiva 95/46. Aggiunge che “se al termine delle sue indagini, un’autorità nazionale di vigilanza ritiene che il trasferimento dei dati contestato mina la tutela di cui i cittadini dell’Unione devono godere per quanto riguarda il trattamento dei loro dati, ha il potere di sospendere il trasferimento dei dati in questione, a prescindere dalla valutazione generale fatta dalla Commissione nella sua decisione”.

Bot, tuttavia, ha anche affermato – nelle conclusioni depositate – che dalle circostanze addotte a sostegno della tesi difensiva di Schrems non emergono violazioni dei principi del Safe Harbor da parte di Facebook. Se Facebook Stati Uniti ha dato alle autorità statunitensi l’accesso ai dati trasferiti da uno Stato membro della UE, lo ha fatto allo scopo di rispettare la legislazione USA. Tale situazione è espressamente accettata dalla decisione 2000/520; non sono, invece, accettate all’interno dell’Unione Europea “le misure incompatibili con il rispetto dei diritti umani”, condizione di legittimità degli atti comunitari.

E’, da segnalare, poi, l’affermazione dell’Avvocato generale secondo cui i cittadini della UE utenti di Facebook non sono a conoscenza del fatto che i loro dati personali “saranno generalmente accessibili alle agenzie di sicurezza degli Stati Uniti” , come sostenuto da una sentenza della CGUE. Bot è del parere che la Decisione 2000/520 debba essere dichiarata invalida perchè le deroghe in essa contenute, che possono portare a disattendere i principi del Safe Harbor, impediscono di garantire un adeguato livello di protezione dei dati personali trasferiti dall’Unione Europea agli Stati Uniti.

Nel caso di specie, secondo Bot la Commissione per la protezione dei dati irlandese avrebbe dovuto sospendere l’applicazione della Decisione 2000/520. La Commissione, infatti, nel valutare qual’è il livello di protezione garantito da un paese terzo, “deve esaminare non solo le leggi interne e gli impegni internazionali, ma anche il modo in cui la protezione dei dati personali è garantita nella pratica. Qualora l’esame della pratica rivela che gli accordi non funzionano correttamente, la Commissione deve agire e, se del caso, sospendere la sua decisione o adattarla senza indugio”.

Alla luce delle motivazioni di cui abbiamo parlato, pertanto, Yves Bot ha concluso che l’art. 28 della Direttiva 95/46/CE del 24.10.1995 in merito alla protezione degli individui con riguardo al trattamento dei dati personali e alla libera circolazione dei medesimi, letta alla luce di quanto disposto dagli artt. 7 e 8 della Carta dei Diritti Fondamentali dell’Unione Europea, deve essere interpretato nel senso che “l’esistenza di una decisione adottata dalla Commissione europea sulla base dell’art. 25 della Direttiva 95/46 non ha l’effetto di impedire a un’autorità nazionale di controllo di istruire una denuncia secondo cui un paese terzo non garantisce un livello adeguato di protezione dei dati personali trasferiti e, se del caso, di sospendere il trasferimento di tali dati. La Decisione della Commissione 2000/520/CE del Parlamento Europeo e del Consiglio sull’adeguatezza della protezione fornita dai principi sulla privacy del Safe Harbor e le relative domande frequenti rilasciate dal Dipartimento del Commercio degli Stati Uniti d’America è invalida”.

Le conclusioni dell’Avvocato generale della UE, che hanno colto un pò di sorpresa, rendono ancora più interessante il procedimento proposto da Max Schrems. Ne seguiremo, pertanto, gli sviluppi.

Fateci sapere le vostre impressioni sulla vicenda nei commenti.

[divider]

author avatar
Daniela Conte
Avvocato civilista con studio legale in Roma, blogger, social media addicted. Il mio motto: anche il diritto è realtà e comunicazione!

Scrivimi

Se ti piace quello che scrivo e se vuoi conoscermi meglio, clicca il bottone qui di fianco.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

martedì, 19 Marzo, 2024

Ultimi articoli

InTime Podcast

spot_img

Articoli correlati
Related

Grok, l’intelligenza artificiale di xAI è open source

Grok, l'intelligenza artificiale di xAI, è ora disponibile open-source. Il modello base, con 314 miliardi di parametri, permette di generare testo, tradurre lingue e rispondere a domande. Il codice di addestramento non è incluso, ma il rilascio open-source mira a favorire la collaborazione e l'innovazione.

Il valore della libertà di parola e i social media nel 2024

La libertà di parola è sempre più al centro del dibattito in rete e sui social media. Il caso che riguarda Don Lemon e Elon Musk è solo uno dei tanti esempi che rappresenta questo grande tema. Noi tutti dobbiamo impegnarci per un dialogo sempre costruttivo e rispettoso.

Vodafone-Swisscom: nuovo gigante telecom in Italia

L'accordo da 8 miliardi tra Vodafone e Swisscom segna una svolta per il mercato delle telecomunicazioni italiano. Il nuovo operatore lancia la sfida a TIM.

TikTok verso il divieto negli Usa ma il destino è incerto

La Camera del Congresso USA ha votato a grande maggioranza per un possibile divieto di TikTok. La palla adesso passa al Senato.